Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
zawarta dnia (zwana dalej „Umową”) pomiędzy:
Państwową Wyższą Szkołą Zawodową w Głogowie, xx. Xxxxxx Xxxxxx 0, 00-000 Xxxxxx, zwaną dalej
„Administratorem”, reprezentowaną przez:
Rektor – xx Xxxxxxxxx Xxxxx
oraz
………………………………………..
………………………………………..
zwany w dalszej części umowy „Podmiotem przetwarzającym”
Administrator oraz Podmiot przetwarzający zwani są w dalszej części Umowy również Stronami. Ponieważ Strony wiąże umowa nr w sprawie organizacji praktyk studenckich zawarta
w dniu ……………………………………. W Głogowie, zwana w dalszej części niniejszej Umowy ,,Umową
główną’’, oraz w związku z wejściem w życie z dniem 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), następuje konieczność zawarcia umowy o powierzeniu przetwarzania danych osobowych.
Strony zgodnie postanawiają, co następuje.
§ 1
Powierzenie przetwarzania danych osobowych
1. Administrator danych powierza Podmiotowi przetwarzającemu, w trybie art. 28 rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r. (zwanego w dalszej części „Rozporządzeniem”) dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia oraz innych powszechnie obowiązujących aktów prawnych w tym zakresie.
4. Podmiot przetwarzający oświadcza, iż powierzone przez Administratora dane osobowe będzie przetwarzał zgodnie z prawem oraz należytą starannością z uwzględnieniem zawodowego charakteru działalności prowadzonej przez Podmiot przetwarzający.
5. Administrator i Podmiot Przetwarzający oświadczają, iż dane osobowe przetwarzają przy pomocy środków technicznych i organizacyjnych spełniających wymogi określone w Rozporządzeniu.
§2
Zakres i cel przetwarzania danych
1. Podmiot przetwarzający będzie przetwarzał, powierzone na podstawie umowy dane osobowe następującej kategorii osób:
1) studentów skierowanych przez Administratora kształcących się na kierunku
…………………………………….. i realizujących praktyki w Podmiocie przetwarzającym,
2) pracowników dydaktycznych Administratora, realizujących w Podmiocie przetwarzającym zadania dydaktyczne, w tym nadzorujących realizację programu praktyk.
2. Zakres powierzonych do przetwarzania Podmiotowi przetwarzającemu danych osobowych obejmuje w odniesieniu do:
1) studentów: imię i nazwisko, nr albumu studenta, kierunek, nazwa i siedziba uczelni, adres e-mail studenta i nr telefonu (w razie ich podania);
2) pracowników dydaktycznych: imię i nazwisko, stopień naukowy, tytuł zawodowy, nazwa i siedziba pracodawcy oraz adres e-mail pracownika i nr telefonu (w razie ich podania).
W rzeczywistości dane mogą być przekazywane przez Administratora w mniejszym zakresie bez uszczerbku dla postanowień niniejszej umowy. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów prawa.
3. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu należytej realizacji przedmiotu umowy głównej.
4. Przetwarzanie danych osobowych w oparciu o niniejszą Umowę odbywa się w zakresie operacji lub zestawach operacji wykonywanych na danych osobowych, tj. zbieranie, dostęp, przechowywanie oraz ich modyfikowanie – za zgodą osoby, której dane osobowe dotyczą za zgodą Administratora, bądź na polecenie Administratora.
5. Przetwarzanie, o którym mowa w ust. 4 będzie odbywać się będzie w formie papierowej lub elektronicznej.
6. W celu uniknięcia jakichkolwiek wątpliwości, Xxxxxx zgodnie ustalają, iż z tytułu zawarcia i realizacji niniejszej Umowy, Podmiotowi przetwarzającemu nie przysługuje jakiekolwiek wynagrodzenie.
7. Podmiot przetwarzający nie może przetwarzać innych danych osobowych poza wymienionymi w niniejszym paragrafie. Każdorazowa zmiana powierzonych do przetwarzania danych wymaga pisemnego aneksu.
§3
Obowiązki Podmiotu przetwarzającego i Administratora
1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.
2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. Podmiot przetwarzający nie jest uprawniony do korzystania z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej pisemnej zgody Administratora. Zgoda, o której mowa w zdaniu pierwszym może być wyrażona jedynie przez osoby upoważnione do reprezentacji Administratora, bądź pełnomocnika należycie umocowanego przez osoby uprawnione do reprezentowania Administratora.
3. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. Podmiot przetwarzający nie może przekazywać powierzonych mu danych osobowych osobom trzecim ani do państw trzecich.
4. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy.
5. Podmiot przetwarzający zobligowany jest zapewnić by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania w tajemnicy przetwarzanych danych zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
6. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji Administratora trwale usuwa bądź zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
7. Podmiot przetwarzający zobowiązany jest do pomagania Administratorowi, poprzez odpowiednie środki techniczne i administracyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia.
8. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji. W związku z realizacją obowiązku, o którym mowa w zdaniu poprzedzającym, Podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie Rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
9. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi, nie później jednak niż w ciągu 24 godzin od stwierdzenia naruszenia.
10. W przypadku zawinionego naruszenia przez Podmiot przetwarzający zasad przetwarzania danych osobowych (określonych w przepisach powszechnie obowiązującego prawa, Rozporządzenia oraz
niniejszej Umowy), skutkującego zobowiązaniem Administratora na mocy prawomocnego orzeczenia sądu, ugody sądowej bądź porozumienia mediacyjnego do wypłaty odszkodowania, zadośćuczynienia lub kary pieniężnej, Podmiot przetwarzający zobowiązuje się zrekompensować Administratorowi udokumentowane straty z tego tytułu w pełnej wysokości. Zobowiązanie Podmiotu przetwarzającego, o którym mowa powyżej, powstanie pod warunkiem pisemnego powiadomienia go o każdym przypadku wystąpienia przez osoby trzecie z roszczeniem wobec Administratora z podaniem podstaw prawnych i faktycznych, w terminie 3 dni od daty dowiedzenia się Administratora o takim roszczeniu.
§4
Prawo kontroli
1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego.
3. Po przeprowadzonej kontroli Administrator może przekazać Podmiotowi przetwarzającemu pisemne zalecenia pokontrolne wraz z terminem ich realizacji.
4. Podmiot przetwarzający zobowiązuje się dostosować do zaleceń pokontrolnych mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych. Niedostosowanie się przez Podmiot przetwarzający do zaleceń pokontrolnych, skutkować może rozwiązaniem niniejszej umowy przez Administratora w trybie natychmiastowym.
§ 5
Dalsze powierzenie danych do przetwarzania
1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy, po uzyskaniu uprzedniej pisemnej zgody Administratora danych, przy czym zgoda może być wyrażona jedynie przez osoby upoważnione do reprezentacji Administratora, bądź pełnomocnika należycie umocowanego przez osoby uprawnione do reprezentowania Administratora.
2. Podmiot przetwarzający zawiera z podwykonawcą odrębną umowę. Umowa nakłada na podwykonawcę te same obowiązki ochrony danych jak w umowie między Administratorem a Podmiotem przetwarzającym, a w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia.
3. Jeżeli podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków podwykonawcy spoczywa na Podmiecie przetwarzającym.
§6
Czas obowiązywania umowy
1. Niniejsza umowa obowiązuje przez cały okres trwania Umowy głównej, tj. na czas …………………………….
Każda ze stron może rozwiązać niniejszą umowę z zachowaniem miesięcznego okresu wypowiedzenia ze skutkiem na koniec miesiąca kalendarzowego.
2. Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
a) rażąco i wielokrotnie narusza istotne zasady przetwarzania danych osobowych określone w niniejszej Umowie powierzenia oraz Rozporządzeniu,
b) zawiadomi Administratora o swojej niezdolności do dalszego wykonywania niniejszej Umowy,
c) nie dostosuje się do zaleceń pokontrolnych.
§7
Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”). Obowiązek określony w zdaniu poprzedzającym
stosuje się odpowiednio do podwykonawców Podmiotu przetwarzającego, oraz wszelkich osób lub podmiotów z pomocą których Procesor przetwarza powierzone przez Administratora dane osobowe.
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy. Zgoda, o której mowa w zdaniu pierwszym może wyrażona jedynie przez osoby upoważnione do reprezentacji Administratora, bądź pełnomocnika należycie umocowanego przez osoby uprawnione do reprezentowania Administratora.
3. Obowiązek zachowania w tajemnicy powierzonych do przetwarzania danych nie dotyczy obowiązku ujawniania, wynikającego z bezwzględnie obowiązujących przepisów prawa, jak również w przypadku, gdy jest to potrzebne w celu wszczęcia lub prowadzenia postępowania karnego, cywilnego lub administracyjnego.
§8
Postanowienia końcowe
1. W sprawach nieuregulowanych zastosowanie będą miały zastosowanie przepisy Rozporządzenia, Kodeksu cywilnego oraz inne powszechnie obowiązujące przepisy prawa.
2. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
3. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
4. Wszelkie ewentualne spory pomiędzy Stronami, wynikające z realizacji niniejszej Umowy, rozstrzygane będą polubownie, a w przypadku niedojścia do porozumienia poddane zostaną rozstrzygnięciu sądu właściwego dla siedziby Administratora.
Administrator danych Podmiot przetwarzający